Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1

JeGr

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

hat Jens schon erklärt.

roline

@jegr said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

@roline said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

Die pfSennse hat als WAN die IP 192.168.1.1 automatisch zugewiesen bekommen und als LAN per DHCP eine IP-Adresse aus meinem LAN 192.168.30.74

ich will behaupten du bringst da was durcheinander. Du willst die pfSense hinter deiner Fritte betreiben, also sollte WAN auch das Netz deiner Fritte sein - also wahrscheinlich das 30er. Die .1.1 gibt sich die pfSense nach Neuinstallation selbst - auf dem LAN! Die IP taucht sonst nie auf dem WAN auf.

Oh Sorry, ja klar du hast recht.

@jegr said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

Für deine pfSense ist die Seite zur Fritte hin WAN, nicht LAN, egal wie du das bislang genannt hast. LAN ist dann die Seite zum Switch und deinen Geräten hin.

Danke für den Hinweis, das habe ich verwechselt.
Hallo jegr,

danke für deine Unterstützung. :-)

@jegr said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

Ich hatte vor hinter der pfSense ein Switch zu hängen, der dann alle meine Endgeräte verbindet.
Auf der pfSense erstelle ich dann VLANS, die an den Switch weitergegeben werden und von dem her denke ich nicht das ich dies benötige

Die werden aber nicht automatisch vom Switch dann konfiguriert. Entweder kann dein Switch VLANs und du richtest die darauf ein oder das wird so nicht klappen - dann brauchst du die physikalischen Ports zur Trennung (und mehrere Switche).

Die VLAN's hätte ich auf der pfSense und dem Switch eingerichtet oder ist die Denke falsch?

@jegr said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

Muss ich da dann die IP-Adresse von der Fritzbox eintragen?

Wenn dein WAN nicht auf DHCP steht und an der Fritze hängt, dann muss da eine IP aus dem Fritz-LAN als statische IP Adresse und die Fritze selbst als Gateway rein, ja.

Danke, ich hatte vor das ich der pfSense eine statische IP-Adresse aus dem Fritzbox-Netz gebe. Somit ist dann die IPv4 Upstream Gateway-Adresse die vom Fritzboxrouter.

@jegr said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

Per DHCP macht die Sense das automatisch, dann solltest du aber mind. auf der Fritze noch die Sense als Gerät so einstellen, dass die IMMER die gleiche IP bekommt und nicht plötzlich wandert. Sonst klappt auch ein späteres PortForwarding o.ä. nicht sauber.

Deshalb hatte ich angefragt, weil ich genau aus deinem erwähnten Grund kein DHCP wollte.

roline

Hallo viragomann,

Danke für deine weitere Unterstützung.

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

Ich hatte vor ein Transfernetz aufzubauen was nur zwischen FB und pfSense funktioniert

Ich bin ja ein echter Freund einer solchen Konfiguration, sehe aber jetzt in deinem Fall keinen Vorteil.

Wie gesagt, ich bin Anfänger und freue mich über jede Unterstützung. Was könntest du mir in meinem Fall vorschlagen / empfehlen, wenn man das so sagen darf?!

viragomann

@roline
Ein Transitnetz erstellt man zwischen zwei Router, die jeweils Netze hinter sich separieren, in welchen sie als Gateway fungieren. Dann setzt man auf beiden Router eine statische Route für das Netz hinter dem jeweilig anderen.
So können alle Geräte der beiden Netze mit Geräten im anderen Netz kommunizieren, ohne eine spezielle Route zu benötigen.

Wenn ich deinen Aufbau richtig verstanden habe, schaltest du die pfSense vor dein gesamtes Netzwerk. Nun ja, damit verkommt das Netz zwischen FB und pfSense ohnehin zu einem Transitnetz, weil es keine andere Aufgabe mehr zu erfüllen hat. Allerdings benötigt es keine spezielle Konfiguration.
Du könntest es bestenfalls verkleiner, zu einem /30er, sodass nur noch 2 IPs Platz haben, wenn das auf eine FB möglich ist.
Wie auch immer, die interne IP der FB ist auf der pfSense als Default Gateway (Upstream) gesetzt (via DHCP) und die Sache sollte laufen.

Einzig, wenn das doppelte NAT stört, könntest das NAT auf der pfSense deaktivieren und dafür auf der Fritzbox eine statische Route für das Netz hinter der pfSense setzen (falls möglich).

roline

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

@roline
Ein Transitnetz erstellt man zwischen zwei Router, die jeweils Netze hinter sich separieren, in welchen sie als Gateway fungieren. Dann setzt man auf beiden Router eine statische Route für das Netz hinter dem jeweilig anderen.
So können alle Geräte der beiden Netze mit Geräten im anderen Netz kommunizieren, ohne eine spezielle Route zu benötigen.

Danke für deine Erklärung

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

Wenn ich deinen Aufbau richtig verstanden habe, schaltest du die pfSense vor dein gesamtes Netzwerk. Nun ja, damit verkommt das Netz zwischen FB und pfSense ohnehin zu einem Transitnetz, weil es keine andere Aufgabe mehr zu erfüllen hat.

Ja das hast du richtig rausgelesen. Ich habe versucht alles einigermaßen verständlich zu erklären.

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

Allerdings benötigt es keine spezielle Konfiguration.
Du könntest es bestenfalls verkleiner, zu einem /30er, sodass nur noch 2 IPs Platz haben, wenn das auf eine FB möglich ist.

Da habe ich zwar noch keine Einstellung gefunden, aber vielleicht im verborgenen. ;-)

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

Wie auch immer, die interne IP der FB ist auf der pfSense als Default Gateway (Upstream) gesetzt (via DHCP) und die Sache sollte laufen.

Danke. :-)

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

Einzig, wenn das doppelte NAT stört, könntest das NAT auf der pfSense deaktivieren und dafür auf der Fritzbox eine statische Route für das Netz hinter der pfSense setzen (falls möglich).

das hört sich gut an. :-)

Werde hier berichten, wie es geklappt hat.

viragomann

@roline said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

Einzig, wenn das doppelte NAT stört, könntest das NAT auf der pfSense deaktivieren und dafür auf der Fritzbox eine statische Route für das Netz hinter der pfSense setzen (falls möglich).

das hört sich gut an. :-)
Werde hier berichten, wie es geklappt hat.

Moment, Voraussetzung ist aber noch, dass die Fritzbox NAT für dein Netzwerk (also jenes, das nicht direkt an ihrem Interface eingerichtet ist) macht.

Unschwer zu erkennen, ich habe von Fritzboxen keine Ahnung. Hier muss jemand anders weiterhelfen.
Nachdem mich vor Jahren mal das über 200-seitige Manual einer solchen zur Weißglut gebracht hatte, weil ich darin nicht das finden konnte, wonach ich gesucht hatte, weil darin Features anders bezeichnet sind, als sie tatsächlich heißen, stattdesen in Hausmeister-Deutsch umschrieben oder mit irgendwelchen AVM-Eingenkreationen belegt sind, hatte ich ein solches Ding nie wieder angerührt. Und ich fühle mich ganz gut dabei.

roline

Hallo nochmal,

Ich habe die Grundkonfiguration erfolgreich abschließen können. :-)

   DSL-Router IP  192.168.15.1 (Fritzbox 7590)
  '–----+-----'
        |
    WAN | IP 192.168.15.2
        |
  .-----+-----. 
  |  pfSense  |
  '-----+-----'
        |
    LAN | 192.168.1.1 /24
   VLAN | 192.168.10.1 /24 (Kids)
   VLAN | 192.168.20.1 /24 (Gäste)
   VLAN | 192.168.30.1 /24 (Home)
        |
  .-----+------.
  | LAN-Switch |
  '-----+------'
        |
...-----+------... (Clients/Drucker/NAS)

Soweit habe ich die VLAN Konfiguration ebenfalls einrichten können.

Die IP-Adressen (IPv4) sind alle statisch und IPv6 ist auf None eingestellt.

Nun wollte ich jedoch die LAN-Schnittstelle konfigurierem, aber ich bekomme das leider nicht hin. :-(
Mein Client mit dem ich die pfSense konfiguriere, soll im VLAN 30 stehen. Im Moment habe ich jedoch eine LAN-Direktverbindung damit ich via LAN-Port darauf zugreifen kann.

Folgende Einstellungen sind gesetzt:

Jedoch bekomme ich hierbei folgende FEhlermeldung: :-(

Ich weiss das die IP aus dem VLAN 30 ist. Denke ich hier falsch?

Muss ich bei der VLAN-Konfiguration auch folgende Optionen anhaken?

Schon einmal Danke für eure Hilfestellung.

viragomann

@roline
Die Aussage der Fehlermeldung sollte eh soweit verständlich sein, dass du sie beheben könntest.
Die ersten beiden Punkte beklagen einen aktivierten DHCPv6 Server auf dem LAN Interface, während du die IPv6 auf 'none' setzen möchtest. Das geht nicht zusammen.
Der dritte Punkt sagt aus, dass sich das hier gesetzte IPv4 Subnetz mit dem auf dem OPT3 Interface überschneidet. Also vermutlich ist da genau dasselbe Subnetz konfiguriert. So zeigt es ja auch dein Netzwerkschema > das Home.

Für das IPv6 Problem reicht es vielleicht, wenn du bei System > Advanced > Networking > Allow IPv6 den Haken raus nimmst.
Ansonsten in Services > DHCPv6 Server & RA die Dienste deaktivieren.

Muss ich bei der VLAN-Konfiguration auch folgende Optionen anhaken?

Die beiden Einstellungen haben mit VLAN nichts zu tun. Ein Haken dort würde einfach eingehende Verbindungen aus den besagten Netzen blockieren
Haken brauchst du hier nicht zu setzen.
Jedenfalls private Netzwerke (RFC1918) darfst du nicht blockieren, weil du genau solche an den internen Interfaces verwendest, und die Geräte würden gerne Verbindungen über die FW aufbauen.

Zu den VLANs:
Es ist oben nicht ersichtlich, ob du die VLANs richtig eingerichtet hast. In pfSense ist das etwas anders als bei Desktop-OS.
Es müssen erst in Interfaces > VLANs die VLANS definiert und die Tags auf den jeweiligen Interfaces gesetzt werden, dann können sie in Interface Assignments ausgewählt und das (virtuelle) Netzwerkinterface fertig konfiguriert werden.

roline

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

@roline
Die Aussage der Fehlermeldung sollte eh soweit verständlich sein, dass du sie beheben könntest.

Typischer Anfängerfehler, man sollte erst lesen bevor man was schreibt, aber trotzdem danke für den Hinweis. ;-)

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

@roline
Die ersten beiden Punkte beklagen einen aktivierten DHCPv6 Server auf dem LAN Interface, während du die IPv6 auf 'none' setzen möchtest. Das geht nicht zusammen.

DHCPv6 auf dem LAN-Interface deaktiviert
(1) Services => DHCPv6 Server & RA => LAN => DHCPv6 Server auswählen
a) Option „Enable DHCPv6 server on Interface LAN“ => Haken entfernen
b) Button „Save“ auswählen
(2) Services => DHCPv6 Server & RA => LAN => Router Advertisements auswählen
a) Option „Router mode“ => Dropdown-Menü „disabled“ auswählen
b) Button „Save“ auswählen

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

@roline
Der dritte Punkt sagt aus, dass sich das hier gesetzte IPv4 Subnetz mit dem auf dem OPT3 Interface überschneidet. Also vermutlich ist da genau dasselbe Subnetz konfiguriert. So zeigt es ja auch dein Netzwerkschema > das Home.

Das ist ehrlich gesagt, der Punkt, wo ich eigentlich fragen wollte.

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

@roline
Für das IPv6 Problem reicht es vielleicht, wenn du bei System > Advanced > Networking > Allow IPv6 den Haken raus nimmst.

Der Punkt war deaktiviert.

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

@roline
Ansonsten in Services > DHCPv6 Server & RA die Dienste deaktivieren.

Den Punkt hatte ich gefunden. ;-)

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

@roline

Muss ich bei der VLAN-Konfiguration auch folgende Optionen anhaken?
Die beiden Einstellungen haben mit VLAN nichts zu tun. Ein Haken dort würde einfach eingehende Verbindungen aus den besagten Netzen blockieren
Haken brauchst du hier nicht zu setzen.
Jedenfalls private Netzwerke (RFC1918) darfst du nicht blockieren, weil du genau solche an den internen Interfaces verwendest, und die Geräte würden gerne Verbindungen über die FW aufbauen.

Danke für die Erklärung.

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

@roline
Zu den VLANs:
Es ist oben nicht ersichtlich, ob du die VLANs richtig eingerichtet hast. In pfSense ist das etwas anders als bei Desktop-OS.
Es müssen erst in Interfaces > VLANs die VLANS definiert und die Tags auf den jeweiligen Interfaces gesetzt werden, dann können sie in Interface Assignments ausgewählt und das (virtuelle) Netzwerkinterface fertig konfiguriert werden.

viragomann

@roline
Hallo,

ob die Einrichtung nun funktioniert hat, geht für mich aber aus deiner Antwort nicht hervor.

Es steht dir frei, den Interfaces OPT1 - OPTx aussagekräftigere Namen in den Einstellungen zu geben.

roline

Hallo viragoman,

vielen Dank nochmal für deine Geduld und Unterstützung.

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

@roline
Hallo,

ob die Einrichtung nun funktioniert hat, geht für mich aber aus deiner Antwort nicht hervor.

Da habe ich letzte Nacht wieder nur die Hälfte gepostet.

Das ist ehrlich gesagt, der Punkt, wo ich eigentlich fragen wollte.
Ich habe nach wie vor das Problem, das es hier zu IP-Adresskonflikten kommt. Die IP-Adresse kommt ja im VLAN30 vor.
Der IP-Bereich geht von (siehe unten) und so wie ich es verstanden habe, ist es der DHCP-Bereich.

Also kann ich für mein Verständnis alle IP-Adressen von 192.168.30.1 - 192.168.30.99 frei nutzen.

Hier die Einstellung der LAN-Schnittstelle:

Hier die Fehlermeldung der LAN-Schnittstelle:

Jetzt stellt sich für mich die Frage. Darf ich für die LAN-Schnittstelle, keine IP-Adresse aus dem VLAN's nutzen?

Vielleicht denke ich hier aber auch viel zu kompliziert.

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

Es steht dir frei, den Interfaces OPT1 - OPTx aussagekräftigere Namen in den Einstellungen zu geben.

Das ist glaube ich immer nur Ansichtssache. ;-)

Viele Grüße

viragomann

@roline
Die Subnetze der einzelnen Interfaces dürfen sich nicht überschneiden / nicht dieselben sein.

Es gibt für jedes Interface eine eigene DHCP-Konfiguration. Das ist vielleicht nicht angekommen.

Grundsätzlich:
In der Interface-Konfiguration definierst du eine statische IPv4 Adresse (ist Voraussetzung, dass am Interface ein DHCP betrieben werden kann und dass es als Gateway genutzt werden kann) mit einer Subnetzmaske, standardmäßig /24.
Wenn du nun am LAN die IP 192.168.30.30/24 setzt, bedeutet das, das Subnetz / Netzwerksegment, also das LAN-Netz, geht von 192.168.30.0 bis 192.168.30.255. Dabei ist die niedrigste IP die Netzwerkadresse, die höchste die Broadcastadresse im Netz. Beide können nicht anders genutzt werden. Eine benötigst du noch für das LAN Interface der pfSense selbst. Diese kannst du dir zwar innerhalb des übrigen Bereichs aussuchen, allerdings kann sie dann auch nicht anders genutzt werden, also darf sie auch nicht im DHCP-Bereich enthalten sein! Achtung, pfSense spart die nicht selbstständig aus! Damit ist 192.168.30.1 - 192.168.30.254 nicht machbar, auch nicht am Home.

Folglich benötigt jedes Interface auch seine eigene DHCP-Konfiguration. Das ist zudem auch erforderlich, weil der DHCP einiges an die Netzwerkgeräte für deren Netzwerkkonfiguration liefert, das sich von Interface zu Interface unterscheiden muss, sollte oder kann. Bspw. das Default-Gateway (muss sich unterscheiden) oder der DNS-Server.

Laut der Fehlermeldung beim LAN-Interface ist OPT3, also das Home Interface, auf 192.168.30.254/24 konfiguriert. Also im selben Netzwerksegment. Das geht natürlich nicht.
Bei einer /24er Maske nimmt das Netzwerk immer die volle letzte Stelle der IP ein, also 0 - 255.
Du musst also das LAN auf ein anderes Netzwerksegment legen, bspw. 192.168.8.1/24. Die 30er IP ist auch nicht gerade günstig beim Festlegen des DHCP-Bereichs. Besser wäre eine niedrige oder hohe IP, also 1 oder 254, dann könnte der DHCP-Bereich bspw. von 2 - 254 gehen. Man kann aber auch mehrere DHCP-Bereich festlegen. Ratsam ist es ihn aber noch kleiner zu definieren, damit du ggf. auch statische Adresse setzen kannst. 50 - 254 sollte auch reichen, denke ich.

viragomann

Möchte noch ergänzen: Es ist ratsam, wenn auch nicht zwingend, alle Interfaces auf einem Netzwerkport als VLANs auszulegen, also auch das LAN. Das könnte eine lange komplizierte Fehlersuche im Fall einer Fehlkonfiguration verbeugen.

roline

@viragomann
Jetzt habe ich Bockmist gebaut.

Habe das LAN-Interface wiefolgt konfiguriert:

Nur leider kann ich mich jetzt per Webinterface nicht mehr mit der pfSense verbinden.

Bekomme auch keine DHCP-Adresse zugewiesen.

Ich habe mich hier per LAN-Kabel direkt von Notebook mit der pfSense verbunden.
Ich komme weder auf den LAN noch auf den WAN-Port.

Wenn ich an die pfSense einen externen Monitor inkl. Maus unbd Tastatur anschliesse wird mir folgendes angezeigt:
WAN 192.168.15.2/30 statisch
LAN 192.168.8.1/24 statisch

Dann bin ich über Menüpunkt 7 => Ping Host ausführen gegangen und konnte WAN und LAN-Schnittstelle anpingen.

Könntest du mir bitte weiterhelfen?

Danke und viele Grüße

viragomann

@roline
Hast du etwa gleichzeitig das LAN in ein VLAN gelegt?

roline

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

@roline
Hast du etwa gleichzeitig das LAN in ein VLAN gelegt?

Nein, ich habe nur die IP von 192.168.1.1 auf 192.168.8.1 abgeändert.
Im Anschluss den DHCP Bereich von 192.168.1.x bis 192.168.1.254 auf 192.168.8.2 bis 192.168.8.254 abgeändert.
Save
Apply Changes

Dann sollte ja die pfSense unter der neuen LAN-IP im WebConfigurator aufrufbar sein.
Das tut Sie aber nicht.

viragomann

@roline said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

Bekomme auch keine DHCP-Adresse zugewiesen.
Ich habe mich hier per LAN-Kabel direkt von Notebook mit der pfSense verbunden.
Ich komme weder auf den LAN noch auf den WAN-Port.

Du musst dem Notebook natürlich auch eine IP in diesem Netz geben, damit er mit der neuen IP kommunizieren kann.

Dass du keine DHCP-IP bekommst, ist aber seltsam. Eventuell die pfSense neu starten.

Falls nicht, gibt es in der Konsole auch die Möglichkeit Einstellungen rückgängig zu machen.

roline

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

@roline said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

Bekomme auch keine DHCP-Adresse zugewiesen.
Ich habe mich hier per LAN-Kabel direkt von Notebook mit der pfSense verbunden.
Ich komme weder auf den LAN noch auf den WAN-Port.

Du musst dem Notebook natürlich auch eine IP in diesem Netz geben, damit er mit der neuen IP kommunizieren kann.

Das habe ich probiert, aber ich kann leider nicht via Weboberfläche auf die pfSense zugreifen.
CMD-Fenster zeigt mir auch an => 3Pings verloren

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

Dass du keine DHCP-IP bekommst, ist aber seltsam. Eventuell die pfSense neu starten.

Ja das finde ich auch komisch, deshalb bin ich ja so enttäuscht.
Habe es in der pfSense VM vorher getestet und da hat alle geklappt.

@viragomann said in Anfängerfragen zur Konfiguration der UEFI-Installation Version 2.5.1:

Falls nicht, gibt es in der Konsole auch die Möglichkeit Einstellungen rückgängig zu machen.

Könntest du mir hierbei bitte helfen?

Vielen Dank und Grüße

viragomann

@roline
In der Konsole, Menüpunkt 15.

Dann List zum Anzeigen der Backups, und "Restore Backup" zur Eingabe des jeweiligen.

NOCling

Mal eine grundsätzliche Frage vorweg.
Du hast ein Qotom mit Serial Port aber hast das VGA Img installiert, warum?

Wenn du mit der Kiste mal ein Problem hast, kannst du per Serial alles mit loggen was bei deiner Fehlersuche passiert.
Gerade wenn die sich beim Booten irgendwo die Karten legt, dann findest das im Log ganz gemütlich wieder, bei der VGA Ausgabe musst ja ein Video drehen und dann kannst hier immer noch nix suchen usw.

Das ist ein großer Vorteil der so verschenkt wird.

Dann solltest du für die Fritz <-> pfSense Kopplung ein ganz anderes Netz verwenden, sonst kannst du nicht alle Netze hinter der Fritz sauber routen und nutzen.

Also 10.x.x.x/8 oder 172.16.x.x/12 hast hier noch völlig frei zur Auswahl.
In dem Fall kannst du dann in der Fritz einfach 192.168.0.0/16 zur Sense routen und hast alle IPs aus dem Bereich sauber nutzbar.

Verpennst du in 1 Jahr das du das 192.168.15.0/24 bereits im WAN verwendest und legst dir hier eine Virtuelle IP an, wist du erstmal wieder auf Fehlersuche gehen.

Hast du vor, die VLAN Netze mal zu vergrößern? Oder dazwischen noch weitere Netze an zu legen, oder warum die Trennung in 10er Schritten?

192.168.10.0/24 in ein /21 zu verwandeln würde dann in 192.168.8.0/21 enden.
Wenn du das vor hast, dann suche dir die Bereiche gleich sauber raus und nutze die so, dass du nur die Maske ändern musst um die zu vergrößern.
Sonst drehst du später alle Netze noch mal um.
Wird dir ggf. klarer, wenn du mal mit einem Netzrechner spielst:
https://www.heise.de/netze/tools/netzwerkrechner/

Ich habe gern das Dritte Oktett in der VLAN ID enthalten, dann weiß ich gleich ah VLAN 18 ist 192.168.18.0/?